Если вы когда-нибудь принимали участие в проекте миграции, вы наверняка сталкивались с понятием делегации разрешений между почтовыми организациями. Exchange позволяет вам делегировать права одного ящика для другого, позволяя одному пользователю получить права к другому. Выполняя гибридные проекты миграции, необходимо знать об особенностях и подводных камнях «облака».

Гибридный облачный сценарий является для большинства организаций наиболее привлекательным, и с первых релизов Office 365 у нас была возможность работы для подключения локальной инфраструктуры к облаку и работы двух (и более) организаций

 

В самых ранних релизах это был довольно сложный и комплексный процесс, состоящий из множества действий, но множество компаний, которым это было необходимо, это не останавливало. Сейчас, с каждым днем, переход все более упрощается, и достаточно для этого посмотреть на гибридный мастер конфигурации сегодня.

Одна из самых ожидаемых возможностей в гибридном сценарии, это, конечно, cross-forest delegation, и, конечно, здесь имеется ввиду земля и облако. Но, поддержка этого сценария не заявлена Microsoft, и документация говорит о "cross-forest delegation does not work".

Рекомендация на той же странице документации гласит: Вы можете сохранить права, мигрировав ящики с делегацией одновременно.

"You can preserve existing delegated rights if all mailboxes in the delegation relationship are migrated in the same migration batch. "

Это не совсем так

Если сказать коротко, то делегация прав в сценарии между организациями работает прекрасно, и двигать ящик руководителя и секретаря одновременно, опасаясь потери прав, не стоит.

Во-первых,  в гибриде присутствует информация о доступности. Хотя это и не одно и тоже, что и делегация разрешений, можно считать, что это одна из ее форм. Во-вторых, перекрестные права, выданные на почтовые ящики делегата прекрасно сработают, даже после того, как ящик уедет в облако.

Поддерживаемый сценарий cross-forest delegation

Поскольку, как я уже писал ранее, Office 365 это не просто офис, а сервис, не так давно в библиотеке TechNet обновилась статья, рассматривающая гибридные права.

Delegated mailbox permissions Exchange hybrid deployments support the use of the Full Access mailbox permission between mailboxes located in an on-premises Exchange organization and mailboxes located in Office 365. A mailbox on an on-premises Exchange server can be granted the Full Access permission to an Office 365 mailbox, and vice versa. For example, an Office 365 mailbox can be granted the Full Access permission to an on-premises shared mailbox.

 

Значит, если мы назначаем права Full Access, то доступ для делегата сохранится. Это хорошее нововведение, и оно, безусловно, упростит миграцию почтовых ящиков в облако. Хотелось бы отметить здесь напоследок только два нюанса. Automapping для почтового ящика не поддерживается и не работает. Перекрестный сценарий делегации прав (пользователь из одного леса получил права на ящик из другого леса и ящик затем уехал в облако) не поддерживается и работает. : ) Но здесь понадобиться дополнительный ввод пароля, что вполне ожидаемо.